TokyoBlackHatNews

gbhackers.com 4分で読了

HubSpotユーザーを狙った標的型フィッシング攻撃が発生

Evalianのセキュリティオペレーションセンターは、HubSpotの顧客を標的とした、現在進行中の高度で巧妙なフィッシングキャンペーンを発見しました。これは、ビジネスメール詐欺(BEC)の手口とWebサイトの侵害を組み合わせ、疑いを持たないユーザーに認証情報を窃取するマルウェアを配布するものです。

この多層的な攻撃は、現代の脅威アクターが従来のメールセキュリティ制御を回避するために手法をどのように進化させているかを示しています

このフィッシングキャンペーンは、侵害された正規のインフラと、なりすまし通信の双方を悪用する欺瞞的な手法を採用しています。

攻撃者はHubSpotを装ったメールを送信し、異常な配信停止(unsubscribe)活動があったとして、受信者にアカウントの確認を促しました。

この攻撃が特に注目に値するのは、メール本文内のURLが悪意あるものではなかった点です。代わりに脅威アクターは、送信者の表示名にフィッシングURLを直接埋め込むという手法を用いました。これは、送信者メタデータの精査ではなくリンク分析に重点を置きがちなメールセキュリティゲートウェイを回避するために設計された技術です。

さらに巧妙なのは、ビジネスメール詐欺を用いて正規のメールアドレスを掌握し、攻撃者がそれを人気のメールマーケティングプラットフォームであるMailChimp経由で悪用して、大規模にキャンペーンを配信した点です。

この手法により、侵害されたドメインとMailChimpのインフラの双方が持つ信頼された評判によって、フィッシングメールはセキュアメールゲートウェイを回避できました。

認証情報窃取インフラ

悪意あるインフラの調査により、正規のWebサイトであるcanvthis[.]comが侵害され、hxxps://hubspot-campaigns[.]com/login にホストされた認証情報窃取サイトへユーザーをリダイレクトするよう設定されていたことが判明しました。

偽のログインページは視覚的に説得力があり、本物のHubSpotログインポータルを非常に近く模倣しています。ユーザーが認証情報を入力すると、その情報はロシア・サンクトペテルブルクでホストされるインフラ上のlogin.phpファイルへ送信されました。

Image
悪意あるHubSpotログインページ.

ホスティングインフラは、フィッシングキャンペーンを支援してきた十分に文書化された履歴を持つロシアのバレットプルーフホスティングサービス、Proton66 OOO(ASN AS198953)に行き着きます。

OSINT分析により、この同一IPアドレスが他の複数のフィッシング未遂キャンペーンにも関連付けられていることが明らかになり、異なる脅威アクターやキャンペーン間でインフラが再利用されていることを示唆しています。

侵害されたサーバーは、急ごしらえで展開されたフィッシングインフラに典型的な特徴を示しています。

Pleskで管理された仮想プライベートサーバー上(自動生成されたホスト名(*.plesk[.]page))でホストされており、PostfixとDovecotを含む完全なメールスタックに加え、公開アクセス可能なPlesk管理パネルが露出しています。

このインフラは自己署名のTLS証明書を使用し、旧式の認証方式を伴うSMTP、IMAP、およびsubmissionサービスを露出したまま維持しています。

ポートスキャンにより、DNS(53)、SSH(22)、HTTP/HTTPS(80/443)、および複数のPleskインターフェース(8443、8880)を含む広大な攻撃対象領域が明らかになります。

Image
Shodanレポート.

このキャンペーンは、メールの認証プロトコルのみに依存することの限界を浮き彫りにしています。SPF、DKIM、DMARCはSMTPレベルでのメッセージ偽装を防ぎますが、メッセージの安全性を保証するものではありません。

この過度に露出した構成は、短命なフィッシングキャンペーンで一般的に悪用される汎用VPSテンプレートの特徴であり、フィッシングページの迅速な展開とインフラの素早いローテーションを可能にします。

メールセキュリティへの示唆

脅威アクターは、MailChimp、SendGrid、そしてSalesforceのような正規のサードパーティメールサービスをますます悪用し、信頼されたプラットフォームを悪用することで認証チェックを回避しています。

セキュリティオペレーションチームにとって、この攻撃は単純なドメインブロックを超える必要性を示しています。

効果的な検知には、インフラのパターンを探索(ハンティング)し、クラウドメールプロバイダーを監視し、TLSのアーティファクトを分析し、洗練された通信であっても懐疑的に捉えることを促すユーザー教育プログラムを実施することが求められます。

このキャンペーンは、ブランドなりすましとインフラ・アズ・ア・サービスを組み合わせ、基本的な防御の先を行きながら効率的に攻撃をスケールさせるという、フィッシングの高度化における重要な進化を示しています。

翻訳元: https://gbhackers.com/hubspot-users/

ソース: gbhackers.com
#HubSpot #MailChimp悪用 #バレットプルーフホスティング(Proton66) #ビジネスメール詐欺(BEC) #フィッシング #メール認証(SPF/DKIM/DMARC)の限界 #ロシア拠点インフラ(サンクトペテルブルク) #侵害された正規サイト(リダイレクト) #認証情報窃取マルウェア #送信者表示名のURL埋め込み

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚